漏洞名称:Type 1字体解析远程代码执行漏洞
威胁类型:远程代码执行
威胁等级:严重
利用场景:
攻击者可以通过构造包含恶意代码的字体文件,通过多种方式利用此漏洞,例如诱使用户打开特制文档或在Windows预览窗格中查看它。
漏洞描述:
当Windows Adobe类型管理器库不适当地处理特制的多主字体-Adobe Type 1 PostScript格式时,Microsoft Windows中存在两个远程执行代码漏洞。
影响版本:
Windows 10
Windows 7
Windows 8等版本(详见漏洞详情)
近日,微软公司发布了一份编号ADV200006的紧急漏洞通告,通告表示有针对性的有限攻击可能会利用AdobeType Manager库中未修补的两个远程代码执行0Day漏洞,鉴于漏洞严重,发布该通告指导用户在补丁发布前规避风险。
据悉,这两个远程代码执行漏洞的原因主要是WindowsAdobe Type Manager Library并没有正确处理特殊构造的多重母版字体——AdobeType1 PostScript格式,漏洞评估严重,已停止服务的WIN7也受到漏洞影响。
攻击者可通过多种场景实施攻击,比如说服受害者在Windows的预览中访问一个特殊构造的文档。
目前微软正在准备漏洞相关的补丁,预计下个月的补丁日会发布,暂时只提供缓解方式。
0x02漏洞详情 3当WindowsAdobe类型管理器库不适当地处理特制的多主字体AdobeType 1 PostScript格式时,MicrosoftWindows中存在两个远程执行代码漏洞。
攻击者可以通过多种方式利用此漏洞,例如说服用户打开特制文档或在Windows预览窗格中查看它。
华云安第一时间跟进了该漏洞,Microsoft已意识到此漏洞,并正在进行修复。解决Microsoft软件中安全漏洞的更新通常在每月的第二个星期二发布。这种可预测的时间表可用于合作伙伴质量保证和IT计划,从而有助于将Windows生态系统作为可靠且安全的选择。由于该漏洞的威胁等级已经达到了严重级且影响范围较广,微软暂未发布补丁,紧急用户暂时只能参阅缓解措施和变通办法,以获取有关如何降低风险的指导。
以下是详细的受影响系统版本:
0x03漏洞验证 4文件资源管理器,在菜单栏的查看项中,检查窗格栏中是否有开启“预览窗格”或“详细信息窗格”,如果有开启其中一个,则可能存在漏洞风险。
0x04处置建议 5参考以下链接尽快修复:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006
微软在通告中提供了多种选择,用户可以自行选择(具体见参考链接)
1.重命名ATMFD.DLL
32位操作系统处理方式:在管理员权限的命令行里输入以下命令执行完成后重启系统
cd"%windir%\system32"
takeown.exe/f atmfd.dll
icacls.exeatmfd.dll /save atmfd.dll.acl
icacls.exeatmfd.dll/grant Administrators:(F)
renameatmfd.dll x-atmfd.dl
64位操作系统处理方式:在管理员权限的命令行里输入以下命令执行完成后重启系统
cd"%windir%\system32"
takeown.exe/f atmfd.dll
icacls.exeatmfd.dll /save atmfd.dll.acl
icacls.exeatmfd.dll/grant Administrators:(F)
renameatmfd.dll x-atmfd.dll
cd"%windir%\syswow64"
takeown.exe/f atmfd.dll
icacls.exeatmfd.dll /save atmfd.dll.acl
icacls.exeatmfd.dll/grant Administrators:(F)
renameatmfd.dll x-atmfd.dll
对于Windows8.1 及更低版本操作系统还可通过以下操作禁用ATMFD(官方建议谨慎使用):
方法一:1、使用管理员账户打开注册表(regedit.exe)
2、在注册表中,位置位于
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows的目录下,新建命名为DisableATMFD的DWORD值项,并将其DWORD值设为1
3、重新启动系统
方法二:1、新建一个文本文件,并写入以下代码:
Windows Registry EditorVersion 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000001
将文件名命名为ATMFD-disable.reg(后缀命需改为.reg,即改为注册表文件)
2、使用管理员账户打开注册表
(regedit.exe),在菜单“文件”中,“导入”ATMFD-disable.reg注册表文件,确定后关闭注册表。
注:使用以上方法后依赖嵌入字体技术的应用程序将无法正确显示。禁用ATMFD.DLL可能导致某些使用OpenType字体的应用程序停止正常运行。MicrosoftWindows 自身不会发布任何OpenType字体。但是,第三方应用程序可能会安装这些字体并且可能会受到此更改影响。
2.禁用WebClient服务
1)在windows开始菜单中选择运行(或使用win+r开启),输入Services.msc,回车打开
2)找到WebClient服务,右键选择属性,停止运行该服务,并将启用类型更改为禁用
3)选择确定,关闭服务管理程序。
注:当禁用WebClient服务时,不会传输 Web 分布式创作和版本管理(WebDAV)请求,所有明确依赖于WebClient服务的任何服务将不会启动,并且会在系统日志中记录错误消息。例如,将无法从客户端计算机访问WebDAV共享。
3.禁用预览窗格和详细信息窗格
Windows7
Windows8.1
WindowsServer 2008
WindowsServer 2008 R2
WindowsServer 2012
WindowsServer 2012 R2
处理方式:
1)打开Windows资源管理器,单击组织,选择布局,取消详细信息窗格和预览窗格的菜单选项。
2)单击组织,选择文件夹和搜索选项。
3)选择查看选项卡,找到并勾选“始终显示图标,从不显示缩略图”选项。
4)选择确定,关闭文件夹选项。
注:使用该方法后Windows资源管理器将不会再自动显示OTF 字体。